上回说道:漏洞导致源码及敏感数据库信息泄露:http://www.2cto.com/Article/201305/210572.html
Tips:
·由于时间较长,有些漏洞可能已经更改或修复,所以某些场景只能通过以前截图来还原事件环境。
·本次渗透可能涉及一些数据资料,但绝未脱库,谢绝跨省o(︶︿︶)o (相信盛大不是这样滴厂商~)
详细说明:经过上次测试后,很长一段时间都没啥进展。。。
后来才发现,盛大业务之广超过了大多数网商。
这么多业务,IP段一定不止这一点。
这次,于是花了半小时,重新更新了一下IP段信息。
但仍然没扫描出太多有利用价值的东西。
这时,某神经君说:最好调整下思路。比如。。。偏僻一点的端口。。?如81 8000 8001 8080 8081?
好吧。。听取了它的建议,添加了这些端口重新进行端口扫描,然后将过滤后的主机导入后台扫描工具扫描敏感信息。。
终于,在125.64.2.61:81中发现了fckeditor,并且可以直接访问。
版本2.6.3,遍历了下全盘,和上次发现的另一个服务器架构差不多一样。
接着进行后台未授权测试,失败。。。
这时,一个细节吸引了注意。
这个站所对应的上传目录貌似与其它的服务器不同。
是不是说明,这站上传文件不是到达up.sdo.com、up2.sdo.com、img.sdg-china.com,而是在本地呢??!
如果是在本地,win2003系统,IIS解析不就能派上用场了么..?
虽然有点难以相信(因为盛大这种大公司暴fck上传漏洞的记录应该为0)
不过还是试了试,上传了一个文件。。。。
what the god! 真是上传到了本地!
一阵兴奋后,连忙畸形文件上传。。。
然后看到了可爱的execute报错提示。。。
连忙菜刀连接之。。。
获取了14个数据库连接信息。
同IP段的其它数据库连接信息。
远程服务器FTP连接信息。
遍历磁盘,证实了先前的猜测(盛大服务器通用FTP上传)
不过貌似已经无法连接了。。 看修改日期,是08年的。。。。。。
数据库连接后,未发现管理员有效密码,看登录文字也明白了,盛大的管理后台都是通过统一应用管理平台授权的。
其实盛大的服务器安全还是做得比较好的。
服务器数据库禁止外连,远程桌面也做了安全策略,防止了服务器的进一步提权。
但由于数据库权限是dbown,所以没有进一步的利用。。。
而且这站貌似已经是一个过期的业务后台,所以没有涉及到核心业务,也就对下一步的渗透没起多大的帮助咯。。。
至于Fckeditor嘛。。 应该说百密必有一疏。这么多Fckeditor编辑器,哪里能完全注意到没进行安全修改呢。。?
其实现在回过头看,这个站是盛大唯一一个有Fck上传漏洞的站。。。
修复方案:
·删除本例中涉及的所有网站木马,并进行全盘木马检查。
·更改本例中涉及的所有数据库密码。
·Fckeditor升级至最新版。